Активные каналы

После импорта пакета ARB в ArcSight становятся доступны следующие активные каналы:

• CyberTrace alerts

  Отображает служебные оповещения из сервиса Kaspersky CyberTrace в режиме реального времени.

  • Поле Reason содержит идентификатор служебного оповещения.
  • Поле Message содержит дополнительную информацию об оповещении (если есть).

  

  Активный канал CyberTrace alerts

• CyberTrace all matches

  Отображает оповещения об обнаружении индикаторов компрометации из сервиса Kaspersky CyberTrace в режиме реального времени.

  • В поле Reason указывается категория обнаруженного объекта.
  • Поле Detected indicator содержит обнаруженный объект.
  • В поле Request Url содержится URL, который был обнаружен в событии, отправленном из ArcSight в Kaspersky CyberTrace Service.
  • В поле File Hash содержится хеш, который был обнаружен в событии, отправленном из ArcSight в Kaspersky CyberTrace Service.
  • В поле Source Service Name содержится название производителя устройства, отправившего событие в ArcSight.
  • В поле Source Process Name содержится имя устройства, отправившего событие в ArcSight.
  • В поле Event Outcome содержится идентификатор исходного события, которое поступило в ArcSight и затем было отправлено в Kaspersky CyberTrace Service.
  • В поле Message содержится краткое описание обнаружения киберугрозы. Описание имеет следующий формат: CyberTrace detected <имя_потока_данных_об_угрозах_задействованного_в_процессе_обнаружения_киберугроз>.
  • В поле Source User Name содержится имя пользователя, который был активен на о конечном устройстве.
  • В поле Source Address содержится IPv4-адрес, определяющий источник в IP-сети, на который ссылается исходное событие.
  • В поле Destination Address содержится IPv4-адрес назначения, который был обнаружен в событии, отправленном из ArcSight в Kaspersky CyberTrace Service.
  • В поле Device Action содержится действие, выполненное устройством, как указано в исходном событии.
  • Значения полей Popularity, Threat Score, Threat и других берутся из потока данных об угрозах, который был задействован в процессе обнаружения киберугроз.

  

  Активный канал CyberTrace all matches

• CyberTrace hash matches

  Отображает оповещения об обнаружении хешей из сервиса Kaspersky CyberTrace в режиме реального времени.

• CyberTrace URL matches

  Отображает оповещения об обнаружении URL из сервиса Kaspersky CyberTrace в режиме реального времени.

• CyberTrace IP matches

  Отображает оповещения об обнаружении IP-адресов из сервиса Kaspersky CyberTrace в режиме реального времени.

В начало